这次我将回答我自己的问题:
当进一步检查会话 cookie 没有“粘住”的原因时,检查响应标头我突然意识到,出于某种原因,服务器试图将会话 cookie 设置为“安全”:
Set-Cookie:ASP.NET_SessionId=lgkbje1igeprk3u53dsfbvtg; path=/; secure; HttpOnly
虽然这本身并不是一件坏事,但在我的开发设置中这是出乎意料的。我没有通过 https 运行请求,因此会话 cookie 被删除了。
在这种情况下,罪魁祸首是在 web.config 中找到的,我在那里:
<httpCookies httpOnlyCookies="true" requireSSL="true" />
这对我来说有点尴尬,但我认为这可能对将来的某人有所帮助,意识到观察到的行为(每个请求的新会话)可能来自尝试将会话 cookie 设置为“安全" 没有安全连接,即https。
[编辑] 回答 cmets 中关于不同环境的理想设置的问题:
我认为您不能说本地、测试或临时环境存在“理想”设置,因为这完全取决于您对每个环境的需求。
谈论生产环境的“理想”设置或如您所说的“实时”设置可能不那么随意;对于 ASP.NET,我个人总是使用:
<httpCookies httpOnlyCookies="true" requireSSL="true" />
为了扩展一般的安全主题,我还要确保设置了HSTS HTTP 标头。同样,实现这一点的确切方法取决于您的上下文,例如您使用的平台等。在较旧的 ASP.NET 应用程序中,AFAIK 没有更好的方法,我会在Global.asax 中添加以下内容:
protected void Application_BeginRequest(Object sender, EventArgs e) {
if(Request.IsLocal)
return;
switch (Request.Url.Scheme) {
case "https":
Response.AddHeader("Strict-Transport-Security", "max-age=300");
break;
case "http":
var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
Response.Status = "301 Moved Permanently";
Response.AddHeader("Location", path);
break;
}
}
当然,还有其他与安全相关的 HTTP 标头,以及您应该更改应用程序和 Web 服务器的默认配置以不显示的其他信息。以下是有关该主题的一些链接:
此外,我会查看 machine.config 并设置:
<deployment retail="true" />
此设置应确保关闭调试模式并打开自定义错误,因此您不会意外泄漏堆栈跟踪等内容。这是关于该主题的博客 - 另一个不错的 Troy Hunt 作品,就像上面链接的一样 - 旧的,但仍然相关:
OWASP Top 10 for .NET developers part 6: Security Misconfiguration - 特洛伊亨特